密碼安全小工具系列談 （一） “脫庫(kù)門(mén)”敲警鐘 “一號(hào)通”問(wèn)題求解

文/楊望

密碼安全小工具系列談 （一） “脫庫(kù)門(mén)”敲警鐘 “一號(hào)通”問(wèn)題求解

文/楊望

隨著2011年眾多“脫庫(kù)門(mén)”爆發(fā)，世界上人數(shù)最多的中國(guó)網(wǎng)民們終于從虛假的安全夢(mèng)中醒來(lái)，理解了安全廠商長(zhǎng)期以來(lái)面對(duì)強(qiáng)大的地下經(jīng)濟(jì)體系時(shí)苦苦支撐的壓力，明白了自己多一點(diǎn)安全常識(shí)才能為這場(chǎng)道高一尺、魔高一丈的安全戰(zhàn)爭(zhēng)贏得一點(diǎn)小小的勝利機(jī)會(huì)。這次的“脫庫(kù)門(mén)”中焦點(diǎn)問(wèn)題集中于兩方面：一方面是用戶(hù)習(xí)慣性的“一號(hào)”走天下，另一方面是大量的網(wǎng)站“一密”看萬(wàn)號(hào)。面對(duì)互聯(lián)網(wǎng)眾多需要用戶(hù)名和密碼的網(wǎng)站，網(wǎng)民無(wú)法靠人力來(lái)記住所有網(wǎng)站的密碼，最簡(jiǎn)單的方法就是為所有的網(wǎng)站都使用統(tǒng)一的用戶(hù)名和密碼，這樣將密碼的維護(hù)成本降到了最低，但也將密碼出問(wèn)題時(shí)的安全成本升到了最高，一旦黑客們從一個(gè)安全等級(jí)較低的網(wǎng)站拿到了用戶(hù)的賬戶(hù)，即時(shí)其他網(wǎng)站的安全等級(jí)再高，黑客們也可以輕輕松松使用已獲得的用戶(hù)名和口令去嘗試，并有很大的概率成功登入網(wǎng)站。因此就用戶(hù)而言，需要一款成熟的口令管理軟件來(lái)維護(hù)自己的口令，并盡量在不同的網(wǎng)站上使用不同的用戶(hù)名和口令。另一方面，大多數(shù)的網(wǎng)站沒(méi)有仔細(xì)考慮過(guò)如何盡量安全地保存用戶(hù)名與口令，通常只使用簡(jiǎn)單的哈?；蛘呒用芩惴▉?lái)保證賬戶(hù)的安全，一旦網(wǎng)站的數(shù)據(jù)庫(kù)泄漏，很容易被黑客通過(guò)彩虹表或統(tǒng)計(jì)方法進(jìn)行破解。本期文章將先討論如何利用KeePass工具來(lái)解決常見(jiàn)的用戶(hù)“一號(hào)通”問(wèn)題。

KeePass的全稱(chēng)是KeePass Password Safe，是由Dominik Reichl開(kāi)發(fā)的一款開(kāi)源的密碼管理軟件。KeePass的網(wǎng)站是http://keepass.info/，作為開(kāi)源軟件，該軟件可以直接從網(wǎng)站下載并進(jìn)行安裝。

KeePass的功能

密碼管理：密碼管理軟件最基本的功能自然是密碼的管理。KeePass以數(shù)據(jù)庫(kù)的形式對(duì)密碼進(jìn)行管理和存儲(chǔ)，每個(gè)用戶(hù)在使用KeePass時(shí)需要先建立自己的密碼數(shù)據(jù)庫(kù)，在密碼庫(kù)中，用戶(hù)可以為不同類(lèi)型的密碼建立不同的分組（Group），比如網(wǎng)絡(luò)、服務(wù)器、網(wǎng)站，在分組之下可以再設(shè)立子分組，比如網(wǎng)站可以再分為郵件網(wǎng)站、購(gòu)物網(wǎng)站，用戶(hù)可以自己添加和修改分組的信息。

在組之下，是具體保存的每個(gè)網(wǎng)站或服務(wù)器的賬戶(hù)信息。每個(gè)賬戶(hù)包含了對(duì)應(yīng)的網(wǎng)站名、用戶(hù)名和密碼，KeePass會(huì)對(duì)用戶(hù)的密碼進(jìn)行一個(gè)密碼強(qiáng)弱的判定。

為了方便用戶(hù)輸入密碼記錄，KeePass提供了多種格式的密碼導(dǎo)入功能，比如可以直接將瀏覽器的密碼記錄導(dǎo)入密碼數(shù)據(jù)庫(kù)中，省去了用戶(hù)再次輸入的麻煩。

自動(dòng)填充：盡管有了一個(gè)統(tǒng)一的密碼記錄存放的地方，但如果要求用戶(hù)每次都去打開(kāi)軟件，查看密碼記錄再登錄相應(yīng)系統(tǒng)的話，用戶(hù)也是不堪其擾。所以KeePass最重要的功能是為用戶(hù)提供了自動(dòng)填充的功能。當(dāng)用戶(hù)打開(kāi)不同的網(wǎng)站，或者試圖登錄不同的服務(wù)器時(shí)，KeePass可以根據(jù)瀏覽器或系統(tǒng)窗口的標(biāo)題欄信息，從密碼庫(kù)中找到對(duì)應(yīng)的密碼記錄，并根據(jù)自動(dòng)登錄腳本域的定義，來(lái)完成自動(dòng)登錄的過(guò)程。剛才KeePass密碼賬戶(hù)記錄界面中的title信息就是KeePass用于選擇對(duì)應(yīng)密碼記錄使用的。

圖1 KeePass界面圖

圖2 KeePass賬戶(hù)記錄界面圖

KeePass不僅僅對(duì)瀏覽器有效，對(duì)所有使用標(biāo)準(zhǔn)Windows窗口作為界面的程序都是有效的，比如作為系統(tǒng)管理員，我們?nèi)粘Ｐ枰褂胮utty登錄不同的服務(wù)器，KeePass一樣可以根據(jù)putty的標(biāo)題欄來(lái)選擇對(duì)應(yīng)服務(wù)器的密碼記錄信息。針對(duì)不同系統(tǒng)有不同的輸入要求，KeePass也提供了定制服務(wù)。如圖3所示，自動(dòng)填充的配置分為兩部分，Target Window指定對(duì)應(yīng)的窗口標(biāo)題，該域的內(nèi)容缺省為記錄界面輸入的title內(nèi)容，Keystroke Sequence對(duì)應(yīng)輸入的序列，圖中顯示的輸入序列為缺省設(shè)置，即先輸入用戶(hù)名，然后輸入Tab鍵跳轉(zhuǎn)到下一個(gè)輸入框，最后輸入密碼。有了自動(dòng)填充功能，用戶(hù)就真正無(wú)需記錄任何用戶(hù)名和密碼信息，可以完全依賴(lài)KeePass來(lái)完成密碼輸入工作。

密碼生成：如果完全不需要記憶密碼，那么用戶(hù)就完全可以實(shí)現(xiàn)一站一密，防止自己的密碼信息在一處泄漏就導(dǎo)致自己在所有站點(diǎn)的信息泄漏。同時(shí)用戶(hù)也可以使用高強(qiáng)度的難記憶的密碼。KeePass同時(shí)還提供了自動(dòng)的高強(qiáng)度密碼生成功能，用戶(hù)可以指定密碼生成的字符集、長(zhǎng)度，KeePass自動(dòng)生成候選的密碼列表。

圖3 KeePass自動(dòng)填充配置信息

KeePass的安全性

作為密碼管理軟件，處理密碼的存儲(chǔ)與管理，更重要的是保證密碼的安全，不能讓黑客們輕易獲取到軟件中保存的密碼。KeePass通過(guò)多方面的安全設(shè)置來(lái)保證即使用戶(hù)的機(jī)器被黑客們控制了，也無(wú)法輕易地通過(guò)后門(mén)程序來(lái)獲取用戶(hù)的密碼。

密碼的安全首先是存儲(chǔ)的安全，存儲(chǔ)的安全性包括兩方面，外存即硬盤(pán)文件的安全性和內(nèi)存的安全性。對(duì)于密碼庫(kù)文件，KeePass使用密碼和密鑰加密兩種手段進(jìn)行保護(hù)，通過(guò)使用高強(qiáng)度的加密算法防止攻擊者輕易破解密碼庫(kù)。另一方面KeePass在使用時(shí)必然要把密碼拷貝進(jìn)內(nèi)存，為了防止黑客通過(guò)內(nèi)存搜索或控件后門(mén)等技術(shù)進(jìn)行攻擊，KeePass采用了安全密碼控件，并對(duì)內(nèi)存中的密碼信息進(jìn)行加密處理，讓密碼信息在內(nèi)存中也無(wú)跡可尋。

另一方面是如何在自動(dòng)填充時(shí)保證密碼輸入的安全性，因?yàn)榇藭r(shí)輸入的是明文的密碼信息。KeePass也巧妙地設(shè)計(jì)了雙通道輸入技術(shù)來(lái)對(duì)抗常規(guī)的鍵盤(pán)鉤子技術(shù)。KeePass預(yù)先會(huì)像剪貼板中拷貝包含有密碼信息的一段序列，然后從中選取密碼信息拷貝進(jìn)入對(duì)應(yīng)的輸入域。這樣如果使用鍵盤(pán)記錄后門(mén)只能獲得一系列的Ctrl+C和Ctrl+V輸入。即使黑客同時(shí)監(jiān)聽(tīng)剪貼板的輸入，由于KeePass把密碼信息打亂，黑客也很難獲取正確的密碼信息。當(dāng)然雙通道技術(shù)只能說(shuō)提供了比一般的密碼輸入方式更高的安全性，如果黑客針對(duì)K e e P a s s的操作設(shè)計(jì)專(zhuān)門(mén)的后門(mén)程序，KeePass依然有可能在自動(dòng)填充時(shí)泄漏信息。

KeePass為網(wǎng)民們提供了一種便捷和安全的密碼管理方式，但真正要實(shí)現(xiàn)安全，還需要用戶(hù)真正的去盡量實(shí)現(xiàn)一站一密，這樣才可能將重要賬戶(hù)信息被攻擊的可能性降到盡可能的低。文章的最后要感謝東北大學(xué)的溫占考老師，因?yàn)楫?dāng)年我接觸到KeePass軟件并學(xué)會(huì)使用的技巧，都是通過(guò)他的傳授，今天寫(xiě)這篇文章，也是希望更多的朋友和同事能利用這個(gè)工具提高自己的密碼等級(jí)，并更好地用它進(jìn)行我們?nèi)粘５墓ぷ鳌?/p>

（作者單位為東南大學(xué)計(jì)算機(jī)系）

上海交大年內(nèi)籌建HPC平臺(tái) 峰值性能106萬(wàn)億次

本刊訊 日前，英特爾公司宣布推出英特爾“至強(qiáng)”處理器E5-2600/1600產(chǎn)品家族。

發(fā)布會(huì)上，上海交通大學(xué)網(wǎng)絡(luò)信息中心高性能計(jì)算部主任林新華分享了他對(duì)于校級(jí)IT系統(tǒng)建設(shè)的一些看法。

“怎樣給用戶(hù)提供非常好的IT服務(wù)？IT要超越原有的方式來(lái)做?！绷中氯A說(shuō)。

他認(rèn)為至強(qiáng)E5處理器將能夠在高性能計(jì)算領(lǐng)域廣泛應(yīng)用?！拔覀兇蛩阈陆ㄒ粋€(gè)高性能計(jì)算中心。在使用KLAPS應(yīng)用程序進(jìn)行測(cè)試時(shí)，至強(qiáng)E5的性能比前代產(chǎn)品提高了82%?！绷中氯A表示，“這還是程序未經(jīng)優(yōu)化時(shí)的測(cè)試結(jié)果，優(yōu)化之后的性能可能再提升兩倍?！边@種性能提升意味著，在建立同樣浮點(diǎn)峰值的高性能計(jì)算集群時(shí)，應(yīng)用至強(qiáng)E5處理器能節(jié)省一半以上的節(jié)點(diǎn)，減少一半以上的網(wǎng)絡(luò)端口數(shù)?！昂?jiǎn)單估算的話，應(yīng)該可以降低一半的總體擁有成本。”林新華主任說(shuō)。據(jù)悉，上海交通大學(xué)今年將建立一個(gè)峰值性能為106萬(wàn)億次的高性能云計(jì)算平臺(tái)，至強(qiáng)E5處理器將作為其中的計(jì)算部分核心。根據(jù)至強(qiáng)E5處理器的性能，預(yù)計(jì)該高性能計(jì)算節(jié)點(diǎn)數(shù)在300-500個(gè)之間。英特爾(中國(guó))有限公司資深企業(yè)客戶(hù)經(jīng)理李輝進(jìn)一步表示，至強(qiáng)E5處理器有很多技術(shù)變化，包括單核性能提升、處理器內(nèi)核數(shù)目增加近30%、應(yīng)用英特爾集成I/O技術(shù)等。他說(shuō)，“對(duì)于真實(shí)應(yīng)用性能，至強(qiáng)E5會(huì)有非常大的提高?！?/p>

李輝表示，英特爾在高性能計(jì)算領(lǐng)域，不僅提供了高質(zhì)量的硬件和CPU，還在應(yīng)用軟件方面投入了大量資源。“在高性能計(jì)算領(lǐng)域的應(yīng)用軟件有很多不同類(lèi)別和不同的大行業(yè)，例如氣象、生命科學(xué)、化學(xué)、物理等，英特爾與每一個(gè)行業(yè)的應(yīng)用專(zhuān)家都有非常多的交流。因此，英特爾可以將各個(gè)領(lǐng)域頂尖專(zhuān)家的經(jīng)驗(yàn)通過(guò)研討會(huì)、行業(yè)會(huì)議等形式告訴大家，讓我們的用戶(hù)知道，如何在目前的硬件平臺(tái)上達(dá)到更高性?xún)r(jià)比?！?/p>